Wat als de basis van onze digitale beveiliging morgen waardeloos zou zijn? Het klinkt nog heel ver weg, maar de opkomst van de Quantum Computer gaat sneller dan ooit. Deze nieuwe generatie computers zal in staat zijn om bestaande encryptie — zoals RSA en ECC — te kraken. Het gevolg? Financiële fraude bijvoorbeeld, maar het kan vooral effect hebben op dataveiligheid van organisaties. De “Quantum Apocalypse”, noemen we dat. Maar eigenlijk is de boodschap: het is nu al tijd om actie te ondernemen. Niet pas als de eerste Quantum Computers operationeel zijn. Wat is Post-Quantum Readiness (PQR) in de praktijk?

Wat zijn Quantum Computers?

Quantum Computers rekenen op een andere manier dan klassieke computers. Waar traditionele systemen gebruikmaken van bits — nullen en enen — rekenen Quantum Computers met qubits, die meerdere toestanden tegelijkertijd kunnen aannemen. Dit is mogelijk door Quantum-mechanische eigenschappen als superpositie en verstrengeling. Hierdoor kunnen ze extreem complexe berekeningen uitvoeren die voor klassieke systemen praktisch onmogelijk zijn.

Inzichten van een expert

In onze podcast “Thuis inn IT” spraken we Jan van Rooij, Information Security Officer bij De Nederlandsche Bank. Hij vertelt dat een Quantum Computer onder andere gaat helpen bij encryptie en het creëren van shared keys, door middel van entanglement. Én in het zoeken naar private keys als de bijbehorende public key bekend is.

Dit soort berichten ontcijferen gaat op basis van een kans van twee tot de negentigste. Een gigantisch klein getal. Met dié wetenschap kan je pas goed uitdrukken wat de rekenkracht van Quantum Computing is. Daarom is het met name belangrijk voor wiskundige problemen waar de huidige cryptografie nog niet aan kan tippen, zoals priemfactorisatie. En precies daardoor vormt Quantum Computing een directe bedreiging voor veelgebruikte algoritmes als RSA en ECC — en dus voor de vertrouwelijkheid van digitale communicatie wereldwijd.

Waarom Post-Quantum Readiness nú zo belangrijk is

Jan van Rooij gaat in de podcast ook in op de vraag: maakt Quantum Computing cryptografie waardeloos? Zijn antwoord is helder: we moeten nu handelen. Organisaties kunnen het zich niet veroorloven te wachten tot Post-Quantum Computing (PQC) een standaard is. Datalekken kunnen namelijk ook achteraf ontstaan als de huidige versleuteling later nog gekraakt wordt.

De Quantum Computer is een technologie, benadrukt van Rooij. De ontwikkeling is al jaren bezig, maar het is nog onbekend wanneer het echt in staat is om bekende cryptografische middelen te kraken. Dit kan vijf jaar zijn, dertig jaar, of zelfs maar één. Op dit moment worden er al commerciële Quantum Computers gebouwd voor het Department of Defense van Amerika.

Maar het feit is: omdat we niet weten wanneer bijvoorbeeld RSA 2048 – een asymmetrisch encryptiealgoritme met een key length van 2048 bits – gekraakt kan worden, moeten we goed gaan kijken naar onze cryptografische middelen. Hoe zit dat nu in elkaar en hoe bescherm je het tegen Quantum Computing met foute bedoelingen?

Wat zijn de grootste gevolgen van Quantum Computers voor organisaties?

Nu duidelijk is wat Quantum Computing op papier betekent, is de volgende stap om dit concreet te maken in de praktijk: wat kan de ontwikkeling van Quantum Computing voor organisaties gaan betekenen?

1. Verlies van (langdurige) vertrouwelijkheid. Data die vandaag versleuteld zijn met kwetsbare algoritmes, zoals RSA of ECC, kunnen morgen worden gekraakt zodra Quantum Computers krachtig genoeg zijn. Back-ups en archieven worden kwetsbaar, maar dit geldt ook voor cold Storage en compliance-archieven. Dit raakt direct sectoren als financiële instellingen, gezondheidszorg en de overheid. Het gevolg hiervan zijn bijvoorbeeld AVG-boetes of verlies van klantvertrouwen
2. Risico’s in de supply chain. Veel organisaties zijn in zekere mate afhankelijk van externe leveranciers. Kwetsbaarheden in die toeleveringsketen kunnen heel lang onzichtbaar blijven, totdat het zelfs te laat is. Dit vereist niet alleen technologische vernieuwing, maar ook beheer, contractmanagement en risicobeoordeling op bestuursniveau
3. Systemen en processen opnieuw certificeren. PQC betekent ook dat veel producten en processen die gecertificeerd zijn (zoals ISO en NEN) opnieuw bekeken moeten worden om ervoor te zorgen dat de juiste cryptografie geïnstalleerd is
4. Onbetrouwbare digitale handtekeningen. Quantum Computers kunnen bestaande algoritmes voor handtekeningen breken. Dit heeft invloed op de betrouwbaarheid van software-updates, juridische documenten en ID-validatiesystemen

Hoe start je vandaag?

We kunnen een aantal praktische stappen formuleren om je als organisatie goed op weg te helpen naar Post-Quantum Computing.

1. Zorg voor executive buy-in
   Breng het fenomeen Quantum Computing op C-level en positioneer PQC als een belangrijk strategisch risico. Je hebt de bestuurlijke steun nodig om acties uit te kunnen voeren, zowel gezien budget, prioriteit als daadwerkelijke voortgang
2. Maak een cryptografische inventarisatie
   Breng in kaart waar encryptie en digitale handtekeningen gebruikt worden. Van VPN’s en databases tot CI/CD-pipelines en apps. Zonder dit inzicht heb je geen idee van de kwetsbaarheden binnen je organisatie. En daarbij spelen niet alleen technische overwegingen een rol, maar ook bestuurlijke
3. Risicoanalyse
   Beoordeel welke systemen gevoelige of langdurig vertrouwelijke data verwerken. Begin dáár met Quantum-veilige alternatieven
4. Bouw interne expertise op
   Start een PQC-team of Centre of Excellence. Laat medewerkers experimenteren met open-source PQC-tools, volg NIST en PQCA, en organiseer interne kennissessies en/of beleidsmatige trainingen. Zo creëer je draagvlak en versnelling vanuit de organisatie zelf. Het zorgt ook voor begrip van dreigingen én kansen
5. Werk samen met leveranciers
   Eis roadmap‑transparantie van je toeleveranciers: wanneer leveren zij PQC‑ondersteuning? Overweeg PQC-compatibiliteit ook als selectiecriterium voor samenwerkingen

Fasen van Post-Quantum Readiness

Daarnaast is de PQC-migratie, zoals we dat zo mooi noemen, op te delen in verschillende fasen. Deze kunnen worden doorlopen met het PQC-team uit je organisatie.

1. Fase 1 – Encryptie upgraden
   Bescherm je data meteen door je te richten op data-encryptie. Begin met het vervangen van kwetsbare encryptie die je in de cryptografische inventarisatie hebt vastgesteld. Denk daarbij aan archieven, e-mails en VPN-tunnels
2. Fase 2 – Authenticatie & digitale handtekeningen
   Focus op digitale handtekeningen, authenticatieprotocollen en certificaten. Dit voorkomt dat cybercriminelen zich voor kunnen doen als legitieme partijen of updates kunnen vervalsen. Uiteindelijk zijn digitale handtekeningen een zwaktepunt van online ketens
3. Fase 3 – Brede implementatie en evolutie
   Integreer PQC in je lifecyclemanagement en zorg ervoor dat je PQC naar alle lagen van je infrastructuur brengt. Dus ook naar middleware, mobiele applicaties, IoT-devices en embedded systemen. Houdt daarbij ook rekening met compatibiliteit en test goed, want elk onderdeel heeft invloed op je digitale veiligheid
4. Fase 4 – Implementeer monitoring en auditing
   Richt logging en auditing in om PQC-adoptie meetbaar te maken: hoe snel ontwikkelt je omgeving? Maar ook: waar blijven verouderde crypto’s hangen?

Technische en organisatorische uitdagingen van Post-Quantum Readiness

Wat zijn de grootste uitdagingen voor organisaties als het gaat om Post-Quantum Readiness?

• Performance & systeemintegratie
  Grotere keys betekent langere vertraging tussen actie en resultaat, afwijkend gedrag op oudere devices of tragere netwerken. Daarom is het belangrijk om aanpassingen op verschillende omgevingen te testen
• Middleware dat niet voldoet
  Soms gaan bestaande systemen kapot bij grotere keys of onbekende algoritmes. Dit vraagt om time-to-fix en coördinatie vanuit het management
• Compliance & regelgeving
  Overheden stellen steeds vaker Quantum-veilige eisen bij contracten, waar je als organisatie aan zal moeten voldoen om geen boetes te krijgen of imagoschade op te lopen

Conclusie

Organisaties die nú al beginnen met Post-Quantum Readiness hebben hun cryptografische landschap grotendeels in beeld. Zo ben je in staat om tests uit te voeren met Post-Quantum algoritmes. Zoals Jan van Rooij benadrukt: dit is een concrete architectuurkeuze met lange termijn impact. Post‑Quantum Readiness vereist inzicht, structuur en actie. Door nu stappen te zetten — zowel technisch als organisatorisch — voorkomen organisaties morgen onherstelbare datalekken, hoge boetes of andere grote gevolgen.

Hoe dan?

1. Start vandaag nog met inventarisaties, risicoanalyses en pilots
2. Pas GDCA (Governance, Development, Cryptographic‑Audit) toe
3. Investeer in open-source PQC‑libaries, testomgevingen en CI/CD pipelines
4. Ontwikkel skills via interne kennisteams, samenwerkingen en awareness
5. Monitor wet- en regelgevingen

Allemaal veel informatie en wellicht nog ver van je bedshow. We begrijpen het. Maar wij zouden Innvolve niet zijn als we niet graag eens met je meedenken of meekijken naar je omgeving en de cryptografische status ervan. Neem contact met ons op of plan zelf een korte (bel)afspraak in met Dirk.